Toggle navigation
成都中科至善信息技术有限公司
首页
认证培训
中国网络安全审查认证和市场监管大数据中心CCRC
CISAW-PIS个人信息安全方向认证培训
信息安全保障人员(CISAW)安全集成方向认证
信息安全保障人员(CISAW)安全运维方向认证
信息安全保障人员(CISAW)应急管理与服务方向认证
信息安全保障人员(CISAW)风险管理方向认证
信息安全保障人员认证-医疗行业安全岗位能力 (CISAW-HSP)
信息安全保障人员(CISAW)软件安全开发方向认证
数据安全官(CCRC-DSO)认证
个人信息保护专业人员(CCRC-PIPP)认证
个人信息保护评估师(CCRC-PIPA)
网络安全应急响应技术工程师(CCRC-CSERE)认证
数据安全评估师(CCRC-DSA)认证
中国信息安全测评中心-CNITSEC
注册信息安全员(CISM)认证
注册信息安全专业人员(CISP)认证
注册渗透测试工程师/专家(CISP-PTE/PTS)认证
注册数据安全治理专业人员(CISP-DSG)认证
注册数据安全官(CISP-DSO)认证
注册应急响应工程师|专家(CISP-IRE|IRS)认证
国家信息安全水平考试(NISP)认证
大数据安全分析师(CISP-BDSA)认证
工业控制系统安全工程师(CISP-ICSSE)
注册信息安全开发人员(CISD)认证
注册电子数据取证专业人员(CISP-F)认证
注册信息系统审计师(CISP-A)认证
国际信息安全认证
注册云安全专家(CCSP)认证培训
注册信息系统安全专家(CISSP)认证
国际注册信息系统审计师(CISA)认证
云计算安全基础知识CCSK认证
公安部信息安全等级保护评估中心
【CIIPT之CIIP-D/CIIP-A】国家重要信息系统保护人员培训
信息安全管理师(CIIP-D)
信息安全管理员(CIIP-A)
国家互联网应急中心CNCERT
网络安全能力认证(CCSC)认证-网络安全管理培训
网络安全能力认证(CCSC)认证-网络安全技术培训
CCSC网络安全意识认证培训课程
企业内训
信息安全基础培训
信息安全意识教育培训
信息安全管理培训
信息安全导论课程
信息安全基础课程
信息安全管理体系实践课程
安全技能培训
IT人员信息安全应用技术课程
网络安全入侵检测技术实践课程
网络安全渗透测试技术基础课程
网络安全渗透测试技术实践课程
Web应用安全渗透测试技术实践课程
网络安全防护技术实践课程
软件生命周期安全开发实践课程
CTF网络安全大赛实操培训指导
信息安全服务
安全技术支持
信息安全风险评估服务
信息安全加固服务
web安全渗透测试服务
代码审计服务
安全事件应急响应服务
信息安全咨询
安全运维管理
安全巡检服务
安全监控与值守服务
资质认证服务
信息系统安全集成服务资质认证
安全工程类资质认证
信息安全风险评估服务资质
安全运维服务资质
信息安全等级保护测评资质
信息系统灾难备份与恢复服务资质
信息安全应急处理服务资质
软件安全开发服务资质
涉密信息系统集成资质认证服务
客户案例
合作客户
经典案例
新闻资讯
新闻公告
培训动态
行业资讯
知识百科
开班计划
认证知识
关于我们
公司简介
荣誉资质
人才招聘
联系我们
在线报名
19141056590
新闻资讯
新闻公告
培训动态
行业资讯
知识百科
开班计划
认证知识
风险管理中的风险场景
赵立军
2024-10-28
概述
2022年10月,国际标准化组织ISO发布了ISO/IEC 27005:2022《信息安全 网络安全和隐私保护 信息安全风险管理指南》。该标准中,增加了一个新的术语:“风险场景(risk scenario)”,并且在后续的条款中多次引用。那么,什么是风险场景?为什么新增风险场景?风险场景如何编写?本文就这些问题对风险管理中的风险场景谈谈笔者个人的看法。
01 风险场景的定义和使用
在风险管理中,风险场景是指可能发生并影响企业实现其经营目标的一系列事件或情况。这些场景通常涉及不确定性,并且可能导致正面或负面的影响。风险场景的概念出现在很多风险框架中。例如,国际信息系统审计协会(ISACA)的风险IT [1]、美国国家标准与技术研究院(NIST)风险管理框架RMF[2]、美国反虚假财务报告委员会下属发起人委员会(COSO)、企业风险管理ERM等,都涉及到风险场景。ISO/IEC 27005将风险情景定义为“由最初的起因导致不期望后果的事态序列或组合”。从定义可以看出,风险场景由起因和事态两部分构成。风险场景定义之后,ISO ISO/IEC 27005分别在“信息安全管理循环”、“风险识别“、“信息安全风险分析”、“选择适合的信息安全风险处置选项”、“监视和评审”和附录中均使用了风险场景的概念,特别是附录中添加了大量对风险场景的描述。可见,对于ISO/IEC 27005风险场景的理解非常重要。只有正确、全面理解风险场景,才能对新版的ISO/IEC 27005有更为清晰的认识,更好地指导风险管理工作的开展。
02 风险场景的目的
通常,在风险框架中,风险场景的目的一是帮助决策者理解不利事件是如何影响组织战略目标的。二是构建风险场景,为进行下一步的风险评估提供输入。在ISO/IEC 27005标准中,风险场景与风险评估和风险处置密切相关。风险场景必须清晰定义哪些因素会导致不利事件频繁发生以及产生后产生的严重后果,并对这些因素进行分解。
03 风险场景的编写
风险场景对风险评估和风险处置非常重要,必须对风险场景进行编写或表述。风险场景的编写通常用叙述性的语言,有多种不同的格式,例如:
(1)国际信息系统审计协会(ISACA)使用的风险场景编写格式:由[原因]引起的[对目标有影响的事件]导致了[后果]
(2)OpenFAIR(The Open Group, 领导厂商中立的开放的技术标准和认证的开发)使用的风险场景编写格式是:[威胁发起者]通过(可选)[方法]对[资产]造成了[影响]
两种场景编写格式大同小异,但都覆盖了ISO/IEC 27005中所描述的起因和事态两部分内容。
在ISO/IEC 27005中,风险识别提出了两种方法,即基于资产的方法和基于事态的方法,这两种方法都可以形成风险场景。可以考虑采用下图来描述风险场景,由五个部分组成:发起人、威胁类型、事态、资产/资源和时间。
在ISO/IEC 27005中引入风险场景的概念,为组织和相关方理解是什么原因导致了风险的发生,如何在组织内外部环境不断变化中开展风险管理,起到积极、基础和重要的作用。
参考文献
[1] https://www.isaca.org/resources/it-risk
[2]https://csrc.nist.gov/projects/risk-management/about-rmf
[3] https://www.coso.org/pages/erm.aspx
——CISAW 风险管理认证方向——
信息安全保障人员认证(CISAW)风险管理方向
是中国网络安全审查认证和市场监管大数据中心针对网络与信息安全风险管理领域的中高级专业技术人员和管理人员开展的人员能力认证。通过风险管理方向认证,证明持证人员满足《信息安全保障人员认证准则》的要求,具备网络与信息安全风险管理领域的专业知识和技能。CISAW风险管理方向综合考查认证申请人员在网络与信息安全风险管理领域对风险管理标准、风险管理原则、框架和过程(包括环境建立、风险识别、风险分析、风险评价和风险处置)等知识的掌握程度,运用风险管理方法解决实际问题的技术水平。
风险场景
风险管理
上一篇:
企业开展个人信息保护合规审计的必要性
下一篇:
最后一页
热门新闻
CTF赛事的三种模式讲解
CCRC认证资质详解 | CCRC认证到底是什么?
CTF零基础适用的30天速成学习计划
【漏洞复现】Django SQL注入漏洞(CVE-2021-35042)
等级保护2.0-等保2.0标准解析
证书咨询
请选择您要咨询的课程
CISAW-PIS个人信息安全方向认证培训
数据安全评估师(CCRC-DSA)认证
注册数据安全官(CISP-DSO)认证
CCSC网络安全意识认证培训课程
网络安全能力认证(CCSC)认证-网络安全技术培训
网络安全能力认证(CCSC)认证-网络安全管理培训
注册云安全专家(CCSP)认证培训
【CIIPT之CIIP-D/CIIP-A】国家重要信息系统保护人员培训
个人信息保护评估师(CCRC-PIPA)
数据合规官(CCRC-DCO)认证
信息安全保障人员(CISAW)灾难备份与恢复方向认证
国家信息安全水平考试(NISP)认证
数据安全官(CCRC-DSO)认证
个人信息保护专业人员(CCRC-PIPP)认证
信息安全保障人员(CISAW)软件安全开发方向认证
注册数据安全治理专业人员(CISP-DSG)认证
注册应急响应工程师|专家(CISP-IRE|IRS)认证
注册电子数据取证专业人员(CISP-F)认证
注册云安全工程师(CISP-CSE)
信息安全保障人员(CISAW)安全集成方向认证
信息安全基础培训
信息安全管理培训
安全技能培训
安全技术支持
信息安全咨询
安全运维管理
资质认证服务
电话咨询
在线咨询
预约报名